Ultimo aggiornamento pagina: 26 maggio 2022
Sicurezza di Ethereum e prevenzione delle truffe
Con l'interesse per le criptovalute in crescita, imparare le migliori pratiche quando si usano le criptovalute è essenziale. Le criptovalute possono essere divertenti ed eccitanti, ma ci sono anche seri rischi. Se si esegue questa piccola quantità di lavoro iniziale, si possono mitigare questi rischi.
Sicurezza web 101
Usa password forti
Oltre l'80% degli hack di account sono il risultato di password deboli o rubate. Una lunga combinazione di caratteri, numeri e simboli è la cosa migliore per mantenere sicuri gli account.
Un errore comune che le persone fanno è usare una combinazione di due o tre parole comuni e correlate tra loro. Le password di questo tipo sono insicure perché sono inclini a una semplice tecnica di hacking conosciuta come attacco a dizionario.
Esempio di una password debole: CuteFluffyKittens!
Esempio di una password sicura: ymv\*azu.EAC8eyp8umf
Un altro errore comune è l'utilizzo di password che possono essere facilmente indovinate o trovate attraverso l'ingegneria sociale. Includere il nome da nubile di tua madre, i nomi dei tuoi figli o dei tuoi animali domestici, o le date di nascita nella tua password non è sicuro e aumenterà il rischio che la tua password venga violata.
Buone pratiche concernenti le password:
- Crea password tanto lunghe quanto consentito dal generatore di password o dal modulo che stai compilando
- Usa una combinazione di caratteri maiuscoli, caratteri minuscoli, numeri e simboli
- Non utilizzare i dati personali, come i cognomi, nella password
- Evita parole troppo comuni
Maggiori informazioni sulla creazione di password forti
Usa password uniche per tutto
Una password forte non fornisce tanta protezione se la password viene rivelata in una violazione di dati. Il sito web Have I Been Pwned ti permette di verificare se i tuoi account sono stati coinvolti in una qualsiasi violazione di dati memorizzati nel loro database. Se sì, dovresti cambiare immediatamente le password violate. L'utilizzo di password uniche per ogni account riduce il rischio che gli hacker ottengano l'accesso a tutti i tuoi account quando una delle tue password è compromessa.
Usa un gestore di password
Ricordare password forti e uniche per ogni account non è l'ideale. Un gestore di password offre un deposito sicuro e criptato per tutte le tue password a cui puoi accedere attraverso una password principale forte. Suggeriscono inoltre password forti quando ci si iscrive a un nuovo servizio, in modo da non doverne creare una propria. Molti gestori di password dicono anche se si è subita una violazione dei dati, permettendo di cambiare le password prima di qualsiasi attacco malevolo.
Prova un gestore di password:
Usa l'autenticazione a due fattori
Per provare che sei veramente tu, ci sono diverse prove uniche che possono essere utilizzate per l'autenticazione. Questi sono noti come fattori e i tre fattori principali sono:
- Qualcosa che conosci (come una password o una domanda di sicurezza)
- Qualcosa di te che sia univoco (come una impronta digitale o uno scanner iride/facciale)
- Qualcosa che possiedi (una chiave di sicurezza o un'app di autenticazione sul tuo telefono)
L'utilizzo dell'autenticazione a due fattori (2FA) fornisce un ulteriore fattore di sicurezza per i tuoi account online in modo che la sola conoscenza della tua password (qualcosa che conosci) non sia sufficiente per accedere a un account. Più comunemente, il secondo fattore è un codice casuale di 6 cifre, noto come password monouso a tempo (TOTP), a cui si può accedere attraverso un'app di autenticazione come Google Authenticator o Authy. Esse funzionano come fattore "qualcosa che possiedi" perché il seme che genera il codice a tempo è memorizzato sul tuo dispositivo.
Chiavi di sicurezza
Per coloro che vogliono fare il passo successivo in 2FA, prendere in considerazione l'uso di una chiave di sicurezza. Le chiavi di sicurezza sono dispositivi fisici di autenticazione hardware che funzionano allo stesso modo delle app di autenticazione. Utilizzare una chiave di sicurezza è il modo più sicuro per la 2FA. Molte di queste chiavi utilizzano lo standard FIDO Universal 2nd Factor (U2F). Scopri di più su FIDO U2F.
Guarda altro sulla 2FA (autenticazione a due fattori):
Disinstalla le estensioni del browser
Le estensioni del browser come quelle di Chrome o i componenti aggiuntivi di Firefox possono aumentare le funzionalità utili del browser e migliorare l'esperienza utente, ma comportano dei rischi. Per impostazione predefinita, la maggior parte delle estensioni del browser chiede l'accesso a "leggere e modificare i dati del sito", consentendo loro di fare quasi qualsiasi cosa con i tuoi dati. Le estensioni di Chrome sono sempre aggiornate automaticamente, quindi un'estensione precedentemente sicura potrebbe aggiornarsi in seguito per includere codice dannoso. La maggior parte delle estensioni del browser non cerca di rubare i dati, tuttavia è necessario essere consapevoli che potrebbero farlo.
Proteggersi nel modo seguente:
- Installare solo le estensioni del browser da fonti attendibili
- Rimuovere le estensioni del browser inutilizzate
- Installare le estensioni di Chrome localmente per interrompere l'aggiornamento automatico (avanzato)
Maggiori informazioni sui rischi delle estensioni del browser
Sicurezza criptovalute 101
Aumenta il livello delle tue conoscenze
Uno dei principali motivi per cui la gente viene truffata con le criptovalute in generale è la mancanza di comprensione. Ad esempio, se non comprendi che la rete Ethereum è decentralizzata e di proprietà di nessuno, allora è facile cadere preda di qualcuno che finge di essere un agente del servizio clienti e ti promette di restituirti l'ETH perso in cambio delle tue chiavi private. Apprendere come funziona Ethereum è un investimento utile.
Cos'è Ethereum?
Cos'è un ether?
Sicurezza del portafoglio
Non svelare le tue chiavi private
Non condividere mai, per nessuna ragione al mondo, le tue chiavi private!
La chiave privata del tuo portafoglio funge da password per il tuo portafoglio Ethereum. È l'unica cosa che impedisce a qualcuno che conosce l'indirizzo del tuo portafoglio di prosciugare il tuo conto di tutti i suoi attivi!
Cos'è un portafoglio Ethereum?
Non fare screenshot delle tue frasi seed/chiavi private
Con lo screenshot delle tue frasi seed o delle chiavi private, rischi di sincronizzarle sul cloud e di renderle potenzialmente accessibili agli hacker. Ottenere chiavi private dal cloud è un metodo di attacco comune per gli hacker.
Usa un portafoglio hardware
Un portafoglio hardware fornisce spazio offline per le chiavi private. Sono considerati l'opzione di portafoglio più sicura per memorizzare le chiavi private.
Mantenere le chiavi private offline riduce massicciamente il rischio di essere violati, anche se un hacker ottiene il controllo del computer.
Prova un portafoglio hardware:
Controlla le transazioni prima dell'invio
L'invio accidentale di criptovalute all'indirizzo del portafoglio sbagliato è un errore comune. Una transazione inviata su Ethereum è irreversibile. A meno che tu non conosca il proprietario dell'indirizzo e possa convincerlo a rimandarti i tuoi fondi non ci sarà modo per te di recuperarli.
Assicurati sempre che l'indirizzo a cui stai inviando corrisponda esattamente all'indirizzo del destinatario desiderato prima di inviare una transazione. Quando si interagisce con uno smart contract, si raccomanda anche di leggere il messaggio della transazione prima di firmare.
Impostare i limiti di spesa degli smart contract
Quando si interagisce con gli smart contract, non permettere limiti di spesa illimitati. Una spesa illimitata potrebbe consentire allo smart contract di prosciugare il tuo portafoglio. Invece, fissa dei limiti di spesa solo all'importo necessario per la transazione.
Molti portafogli Ethereum offrono una protezione dei limiti per salvaguardare l'utente dal prosciugamento dei conti.
Esplora portafogli con protezione dei limiti
Truffe comuni
I truffatori sono sempre alla ricerca di modi per toglierti i fondi. È impossibile fermare completamente i truffatori, ma possiamo renderli meno efficaci essendo consapevoli delle tecniche più utilizzate. Ci sono molte varianti di queste truffe, ma generalmente seguono gli stessi schemi di alto livello. Se non altro, ricorda:
- sii sempre scettico/a
- nessuno ti darà ETH gratis o scontati!
- nessuno ha bisogno di accedere alle tue chiavi private o ai tuoi dati personali
Truffa del giveaway
Una delle truffe più comuni in criptovaluta è la truffa del giveaway. La truffa del giveaway può assumere molte forme, ma la premessa generale è che se invii ETH all'indirizzo del portafoglio fornito, riceverai indietro il tuo ETH ma raddoppiato. Per questa ragione è conosciuta anche come la truffa del 2 per 1.
Queste truffe di solito prevedono un periodo limitato di opportunità per rivendicare il giveaway incoraggiando un processo decisionale scadente e creando un senso di falsa urgenza.
Hack dei social media
Nel luglio del 2020 si è verificata una situazione del genere di alto profilo: sono stati violati gli account Twitter di celebrità e organizzazioni di spicco. L'hacker ha pubblicato simultaneamente un giveaway di Bitcoin sugli account violati. Sebbene i tweet ingannevoli siano stati rapidamente notati ed eliminati, gli hacker sono riusciti comunque a farla franca guadagnando 11 bitcoin (ovvero 500.000 dollari a settembre 2021)
Dono di celebrità
Il giveaway di celebrità è un altro dei più comuni tipi di truffa del giveaway. I truffatori, utilizzando un'intervista video registrata o una conferenza di una celebrità, la trasmettono in streaming live su YouTube, facendo credere che la celebrità in questione stia promuovendo in diretta un giveaway di criptovalute.
Vitalik Buterin è la celebrità più sfruttata per questa truffa, ma vengono usate anche molte altre persone importanti coinvolte nelle criptovalute (ad esempio Elon Musk o Charles Hoskinson). L'inclusione di una persona nota dà allo streaming live dei truffatori un senso di legittimità (sembra strano, ma se ne parla Vitalik, dovrebbe essere tutto ok).
I giveaway sono sempre truffe. Se invii i fondi a questi conti, li perderai per sempre.
Truffe del finto addetto al supporto
Le criptovalute sono una tecnologia relativamente giovane e incompresa. Una truffa comune che sfrutta tale caratteristica è quella dei finti addetti al supporto: i truffatori fingono di essere addetti al supporto di portafogli, piattaforme di scambio o blockchain popolari.
Gran parte delle discussioni su Ethereum avviene su Discord. I finti addetti al supporto tecnico cercano di solito la propria vittima tra gli utenti che hanno inviato domande al supporto nei canali Discord pubblici e poi inviano a tali utenti un messaggio privato offrendo assistenza. Costruendo la fiducia, i finti addetti al supporto cercano di indurti a rivelare le tue chiavi private o a inviare i tuoi fondi ai loro portafogli.
Come regola generale, il personale non comunicherà mai con te attraverso canali privati e non ufficiali. Alcune semplici cose da tenere a mente quando si tratta di supporto:
- Non condividere mai le chiavi private, le frasi seed o le password
- Non consentire a nessuno l'accesso remoto al tuo computer
- Non comunicare mai al di fuori dei canali designati dall'organizzazione
Truffe di tipo phishing
Le truffe di tipo phishing sono un altro metodo sempre più comune che i truffatori usano per tentare di rubare i fondi dal tuo portafoglio.
Alcune e-mail di phishing chiedono agli utenti di cliccare su link che li reindirizzano a siti web falsi, chiedendo loro di inserire la loro frase seed, reimpostare la password o inviare ETH. Altri possono chiederti di installare inconsapevolmente un malware per infettare il tuo computer e dare ai truffatori l'accesso ai file del tuo computer.
Se ricevi un'email da un mittente sconosciuto, ricorda:
- Non aprire mai un link o un allegato da indirizzi e-mail che non riconosci
- Non divulgare mai le tue informazioni personali o password a nessuno
- Elimina le e-mail da mittenti sconosciuti
Altro su come evitare truffe di tipo phishing
Intermediari-truffatori di scambi di criptovalute
Gli intermediari-truffatori di scambi di criptovalute affermano di essere intermediari di criptovalute specializzati che si offrono di prendere i tuoi soldi e investirli per tuo conto. Questa offerta è di solito accompagnata da promesse di rendimenti irrealistici. Dopo che il truffatore ha ricevuto i tuoi fondi, può indurti a inviarne altri, in modo che tu non perda ulteriori guadagni dall'investimento, o può scomparire del tutto.
Questi intermediari fraudolenti trovano le loro vittime utilizzando account falsi su YouTube per iniziare conversazioni apparentemente naturali sull'intermediario. Queste conversazioni spesso hanno un alto numero di like per aumentarne la legittimità, ma i voti positivi provengono tutti da account bot.
In Internet non fidarti degli sconosciuti che vogliono investire a tuo nome. Perderai la tua criptovaluta.
Le truffe dei gruppi di "minatori" di criptovalute
Le truffe dei gruppi di "minatori" sono perpetrate da persone che ti contattano senza essere sollecitati affermando che puoi ottenere grandi guadagni unendoti a un gruppo di "minatori" su Ethereum. Il truffatore farà le sue affermazioni e rimarrà in contatto con te per tutto il tempo necessario. Essenzialmente, il truffatore cercherà di convincerti che se ti unisci a un gruppo di "minatori" su Ethereum, la tua criptovaluta sarà usata per creare ETH e ti saranno pagati i dividendi sotto forma di ETH. All'inizio noterai solo che la tua criptovaluta avrà scarsi rendimenti. Questo semplicemente per invogliarti a investire di più. Alla fine, tutti i tuoi fondi saranno inviati a un indirizzo sconosciuto e il truffatore scomparirà o addirittura, come è accaduto in un caso recente, continuerà a rimanere in contatto.
In conclusione, diffida delle persone che ti contattano sui social media chiedendoti di far parte di un gruppo di "minatori". Una volta persa la tua criptovaluta è andata.
Alcune cose da ricordare:
- Diffida di chiunque ti contatti proponendoti modi per guadagnare con la tua criptovaluta
- Fai la tua ricerca su staking, gruppi di liquidità, o altri modi di investire le tue criptovalute
- Raramente, se non mai, tali sistemi sono legittimi. Se lo fossero, probabilmente sarebbero mainstream e ne avresti sentito parlare.
Un uomo ha perso 200.000 dollari a causa della truffa di un gruppo di "minatori"
Truffa del token "Eth2"
Con la fusione in arrivo nel 2022, i truffatori hanno approfittato della confusione intorno al termine "Eth2" per provare a convincere gli utenti a riscattare i loro ETH per un token "ETH2". Non esiste alcun "ETH2" o alcun altro nuovo token introdotto dalla fusione. L'ETH che possiedi oggi continuerà a essere lo stesso ETH dopo la fusione e non serve effettuare alcuno scambio del tuo ETH per la fusione.
I truffatori potrebbero apparire sotto forma di "supporto", dicendoti che se depositi i tuoi ETH, riceverai degli "ETH2" in cambio. Non esiste alcun supporto ufficiale di Ethereum e non esiste alcun nuovo token. Non condividere mai la frase di seed del tuo portafoglio con nessuno.
Truffe airdrop
Le truffe airdrop riguardano un progetto fraudolento di airdropping di un attivo (NFT, token) nel tuo portafoglio con il rimando a un sito web fraudolento per rivendicare l'attivo in questione. Ti sarà richiesto di accedere con il tuo portafoglio di Ethereum e di "approvare" una transazione tentando di reclamare. Questa transazione compromette il tuo conto inviando le tue chiavi pubblica e privata al truffatore. Una forma alternativa di questa truffa potrebbe chiederti di confermare una transazione che invia fondi al conto del truffatore.
Di più sulle truffe di airdrop
Letture consigliate
Sicurezza web
- Questo è il motivo per cui non dovresti usare testi per l'autenticazione a due fattori - The Verge
- Fino a 3 milioni di dispositivi infettati da componenti aggiuntivi Chrome e Edge lacciati da malware - Dan Goodin
- Come creare una password forte — che non dimentichi - AVG
- Cos'è una chiave di sicurezza? - Coinbase
Crypto security
- Protecting Yourself and Your Funds Aggiornato frequentemente - MyCrypto
- 4 modi per salvaguardare le criptovalute-CoinDesk
- Guida alla sicurezza per principianti e anche per esperti - MyCrypto
- Crypto Security: Passwords and Authentication-Andreas M. Antonopoulos
Educazione alle truffe
- Staying Safe: Common Scams - MyCrypto
- Avoiding Scams Bitcoin.org